Примерная форма положения о порядке ведения личных дел работников, правилах обработки, хранения и передачи персональных данных работников, содержащихся в личных делах (май 2025)

[организационно-правовая форма, наименование юридического лица]

Утверждаю [должность, подпись, Ф. И. О. руководителя или иного должностного лица, уполномоченного утверждать положение] [число, месяц, год] М. П.

Положение
о порядке ведения личных дел работников, правилах обработки, хранения и передачи персональных данных работников, содержащихся в личных делах

[наименование юридического лица]

1. Общие положения

1.1. Настоящее положение разработано в соответствии с нормами Трудового кодекса Российской Федерации, Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных).

1.2. Настоящее положение устанавливает порядок ведения и хранения личных дел работников [наименование юридического лица] (далее - организация, работодатель), а также правила обработки, хранения и передачи персональных данных работников, содержащихся в личных делах.

1.3. В личное дело работника вносятся его персональные данные и иные сведения, связанные с поступлением на работу, выполнением должностных обязанностей, необходимые для обеспечения деятельности организации.

Объем персональных данных, указанных в копиях документов работника, не должен превышать объем данных, которые организации необходимо использовать для обеспечения своей деятельности.

1.4. Личные дела оформляются на всех работников организации.

1.5. Персональные данные, а также иные сведения, внесенные в личные дела работников, относятся к сведениям конфиденциального характера (за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - к сведениям, составляющим государственную тайну.

2. Порядок формирования и ведения личных дел работников

2.1. Личное дело работника представляет собой совокупность документов, содержащих полные сведения о работнике и его трудовой деятельности.

2.2. Оформление личных дел осуществляется [должность работника кадровой службы] не позднее [указать срок] со дня приема работника на работу.

2.3. Личное дело работника формируется непосредственно после издания приказа о приеме на работу, ведется кадровой службой организации в одном экземпляре до увольнения работника.

2.4. При заключении трудового договора лицо, поступающее на работу, предъявляет:

- паспорт или иной документ, удостоверяющий личность;

- трудовую книжку и (или) сведения о трудовой деятельности, за исключением случаев, если трудовой договор заключается впервые;

- документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;

- документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;

- документ об образовании и (или) о квалификации или наличии специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки);

- справку о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (при поступлении на работу, связанную с деятельностью, к осуществлению которой не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию).

В отдельных случаях с учетом специфики работы может предусматриваться необходимость предъявления при заключении трудового договора дополнительных документов.

2.5. Личное дело работника ведется в течение всего периода работы работника в организации.

2.6. Все документы личного дела помещаются в папку. Документы брошюруются, страницы нумеруются, к личному делу прилагается внутренняя опись. Внутренняя опись составляется на отдельном листе по установленной форме.

2.7. Работником кадровой службы, ответственным за ведение личных дел работников, ведется журнал учета личных дел работников.

Порядковый номер личного дела работника в журнале учета указывается на лицевой стороне обложки личного дела и на личной карточке формы Т-2.

2.8. На обложке личного дела указываются: [вписать нужное].

Документы, входящие в состав личного дела работника: [вписать нужное].

Документы в личном деле располагаются в следующей последовательности: [вписать нужное].

2.9. В процессе работы к личному делу приобщаются:

- дополнение к анкете установленной формы;

- документы о прохождении испытания, если таковое устанавливалось;

- аттестационные листы;

- копии приказов о поощрении и награждении;

- копии дипломов и свидетельств о полученном дополнительном образовании, прохождении повышения квалификации (переподготовки), присуждении ученой степени и присвоении ученого звания;

- копии документов о переводе на другую должность и увольнении;

- дополнительные соглашения к трудовому договору;

- копии значимых профессиональных грамот, дипломов и благодарностей.

2.10. Работник кадровой службы, ответственный за ведение личных дел работников, обязан своевременно приобщать к личному делу копии документов об изменении в биографических данных работника или в его служебном положении.

Основанием внесения изменений и дополнений в личное дело работника служат приказы руководителя организации, документы органов ЗАГС, документы учебных заведений (дипломы, удостоверения, свидетельства, аттестаты).

Вносить корректировку в документы, помещенные в личное дело, со слов работника запрещается.

2.11. Ежегодно работником кадровой службы, ответственным за ведение личных дел работников, проводится проверка наличия и состояния личных дел работников.

Факт проверки фиксируется в дополнении к личному листку по учету кадров.

В случае выявления недостатков в оформлении и ведении личных дел работников составляется акт.

Результаты проверки доводятся до руководителя организации.

2.12. Личные дела относятся к делам строгой отчетности.

Доступ к личным делам имеют следующие работники: [вписать нужное].

Личное дело может быть выдано во временное пользование по запросу государственных органов с разрешения руководителя организации.

Каждый работник организации имеет право на ознакомление с материалами своего личного дела.

Ознакомление с материалами личного дела осуществляется в следующем порядке: [вписать нужное].

3. Правила обработки, хранения и передачи персональных данных работников, содержащихся в личных делах

3.1. В целях настоящего положения под персональными данными понимается любая информация, прямо или косвенно относящаяся к работнику.

К персональным данным работника, содержащимся в личном деле, относятся:

- анкетные и биографические данные;

- паспортные данные;

- ИНН;

- СНИЛС;

- сведения о воинском учете;

- специальность и занимаемая должность;

- сведения о заработной плате;

- сведения о социальных льготах;

- адрес места жительства, контактный телефон;

- содержание трудового договора;

- приказы по личному составу;

- трудовая книжка;

- [вписать нужное].

Указанные сведения и документы являются конфиденциальными.

Организация как оператор персональных данных не вправе распространять персональные данные, содержащиеся в личных делах, без согласия работника, если иное не предусмотрено федеральным законом.

3.2. Под обработкой персональных данных, содержащихся в личных делах, понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

3.3. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника, содержащихся в личном деле, обязаны соблюдать следующие общие требования:

- обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работника, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

- при определении объема и содержания обрабатываемых персональных данных работника работодатель руководствуется Конституцией Российской Федерации, Трудовым кодексом и иными федеральными законами;

- все персональные данные работника следует получать у него самого;

- работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;

- работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом или иными федеральными законами;

- при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.4. Защита персональных данных работника, содержащихся в личных делах, от неправомерного их использования или утраты обеспечивается организацией за счет собственных средств в порядке, установленном Трудовым Кодексом, иными федеральными законами и настоящим положением.

3.5. Работники и их представители должны быть ознакомлены под роспись с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

3.6. Организация при обработке персональных данных, содержащихся в личных делах, принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

3.7. Организация осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Закону о персональных данных, требованиям к защите персональных данных, политике организации в отношении обработки персональных данных, настоящему положению.

3.8. Организация знакомит работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику организации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучает указанных работников.

3.9. Организация обеспечивает безопасность персональных данных работников, хранящихся в личных делах, следующими способами:

- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учетом машинных носителей персональных данных;

- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3.10. Организация обрабатывает в информационных системах с использованием средств автоматизации следующие категории персональных данных работника, хранящихся в личном деле, обеспечивает их защиту с учетом определенного типа угроз безопасности и уровня защищенности персональных данных:

Цель обработки персональных данных: [вписать нужное].

Категория персональных данных	Перечень персональных данных	Категория работников	Тип угрозы	Уровень защищенности	Срок обработки	Срок хранения
только общие персональные данные	[указать перечень обрабатываемых персональных данных]	[указать должности/все работники]	угрозы [значение] типа	[значение] уровень защищенности	[указать срок]	[указать срок]
общие и специальные персональные данные	[указать перечень обрабатываемых персональных данных]	[указать должности/все работники]	угрозы [значение] типа	[значение] уровень защищенности	[указать срок]	[указать срок]
общие и биометрические персональные данные	[указать перечень обрабатываемых персональных данных]	[указать должности/все работники]	угрозы [значение] типа	[значение] уровень защищенности	[указать срок]	[указать срок]
общие, специальные и биометрические персональные данные	[указать перечень обрабатываемых персональных данных]	[указать должности/все работники]	угрозы [значение] типа	[значение] уровень защищенности	[указать срок]	[указать срок]

3.11. При 4-м уровне защищенности персональных данных работодатель:

- обеспечивает режим безопасности помещений, в которых размещена информационная система, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

- обеспечивает сохранность носителей персональных данных;

- утверждает перечень работников, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

- использует средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации.

3.12. При 3-м уровне защищенности персональных данных работодатель дополнительно к мерам, перечисленным в пункте 3.11 настоящего положения, назначает должностное лицо (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.

3.13. При 2-м уровне защищенности персональных данных работодатель дополнительно к мерам, перечисленным в пунктах 3.11, 3.12 настоящего положения, ограничивает доступ к содержанию электронного журнала сообщений, за исключением для должностных лиц (работников), которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

3.14. При 1-м уровне защищенности персональных данных работодатель дополнительно к мерам, перечисленным в пунктах 3.11-3.13 настоящего положения:

- обеспечивает автоматическую регистрацию в электронном журнале безопасности изменения полномочий работника по доступу к персональным данным, содержащимся в информационной системе;

- создает структурное подразделение, ответственное за обеспечение безопасности персональных данных в информационной системе, либо возлагает на одно из структурных подразделений функции по обеспечению такой безопасности.

3.15. Организация обрабатывает без использования средств автоматизации следующие категории персональных данных работника, хранящихся в личном деле, обеспечивает их защиту, которые хранятся на бумажных носителях:

Цель обработки персональных данных: [вписать нужное].

Категория персональных данных	Перечень персональных данных	Категория работников	Срок обработки	Срок хранения
только общие персональные данные	[указать перечень обрабатываемых персональных данных]	[указать должности/все работники]	[указать срок]	[указать срок]
общие и специальные персональные данные	[указать перечень обрабатываемых персональных данных]	[указать должности/все работники]	[указать срок]	[указать срок]
общие и биометрические персональные данные	[указать перечень обрабатываемых персональных данных]	[указать должности/все работники]	[указать срок]	[указать срок]
общие, специальные и биометрические персональные данные	[указать перечень обрабатываемых персональных данных]	[указать должности/все работники]	[указать срок]	[указать срок]

3.16. Работодатель при обработке персональных данных работника на бумажных носителях в целях обеспечения их защиты:

- назначает должностное лицо (работника), ответственного за обработку персональных данных;

- ограничивает допуск в помещения, в которых хранятся личные дела работников.

3.17. В целях обеспечения конфиденциальности личные дела работников оформляются, ведутся и хранятся только работниками кадровой службы.

3.18. Работники кадровой службы, допущенные к персональным данным работников, подписывают обязательства о неразглашении персональных данных. В противном случае до обработки персональных данных работников не допускаются.

3.19. При передаче персональных данных работника, содержащихся в личном деле, организация соблюдает следующие требования:

- не сообщает персональные данные работника, содержащиеся в личном деле, третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами;

- не сообщает персональные данные работника, содержащиеся в личном деле, в коммерческих целях без его письменного согласия;

- предупреждает лиц, получающих персональные данные работника, содержащиеся в личном деле, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требует от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, соблюдают режим секретности (конфиденциальности);

- осуществляет передачу персональных данных работника, содержащихся в личном деле, в пределах организации в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

- разрешает доступ к персональным данным работников, содержащимся в личных делах, только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

- не запрашивает информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

- передает персональные данные работника, содержащиеся в личном деле, представителям работников в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, и ограничивает эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

3.20. Передача информации, содержащей сведения о персональных данных работников, хранящихся в личных делах, по телефону, в связи с невозможностью идентификации лица, запрашивающего информацию, запрещается.

3.21. В целях обеспечения защиты персональных данных, хранящихся в личных делах, находящихся в организации, работники имеют право на:

- полную информацию об их персональных данных и обработке этих данных, в том числе содержащую:

подтверждение факта обработки персональных данных работодателем;

правовые основания и цели обработки персональных данных;

цели и применяемые работодателем способы обработки персональных данных;

сроки обработки персональных данных, в том числе сроки их хранения;

информацию об осуществленной или о предполагаемой трансграничной передаче данных;

информацию о способах исполнения работодателем обязанностей, установленных статьей 18.1 Закона о персональных данных;

- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

- определение своих представителей для защиты своих персональных данных;

- доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

- требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

- обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

3.22. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

3.23. Моральный вред, причиненный работнику вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Законом о персональных данных, а также требований к защите персональных данных, установленных в соответствии с названным Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником убытков.

4. Порядок хранения личных дел работников

4.1. Личные дела работников хранятся в кадровой службе в [сейфах/специальных запирающихся шкафах], располагаются в [алфавитном порядке/по порядку номеров].

4.2. Ответственным за хранение личных дел работников является [наименование должности].

4.3. После увольнения работника личное дело помещается в архив организации.

4.4. В организации установлен следующий порядок оформления личного дела уволенного работника при передаче в архив: [вписать нужное].

4.5. Срок хранения личных дел уволенных руководителей и работников организации в соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденным приказом Федерального архивного агентства от 20 декабря 2019 г. N 236, составляет 50/75 лет ЭПК.

При этом документы, хранящиеся в личном деле уволенного работника и содержащие его персональные данные, полученные организацией с согласия работника в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, подлежат уничтожению в связи с достижением цели обработки персональных данных.

К таким документам относятся:

- копия документа, удостоверяющего личность;

- копия свидетельства с указанием ИНН;

- копии документов об образовании;

- [иные документы].

4.6. После истечения срока нормативного хранения документов, содержащих персональные данные работника, или при наступлении иных законных оснований документы подлежат уничтожению.

4.7. Работодатель для этих целей создает экспертную комиссию и проводит экспертизу ценности документов.

4.8. По результатам экспертизы документы, содержащие персональные данные работника и подлежащие уничтожению:

- на бумажном носителе - уничтожаются путем [указать способ уничтожения: измельчения в шредере/сжигания и т. п.];

- в электронном виде - стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация.

5. Ответственность

5.1. Лица, ответственные за ведение и хранение личных дел работников, могут привлекаться в соответствии с законодательством Российской Федерации к дисциплинарной и иной ответственности за разглашение конфиденциальных сведений, содержащихся в указанных личных делах, а также за иные нарушения порядка ведения личных дел работников, установленного настоящим положением.

6. Заключительные положения

6.1. Настоящее положение вступает в силу с момента его утверждения.

6.2. Руководитель организации обеспечивает неограниченный доступ к настоящему документу.

6.3. Настоящее положение доводится до сведения всех работников персонально под роспись.

С положением ознакомлены:

N п/п	Ф. И. О. работника	Дата	Подпись
1	2	3	4